围绕等保合规建设实现安全管理体系化，是当下中国中小企业全面提升安全防护能力的必要路径和契机。对于中小企业来说，最常见的误区是：把等保测评当成“应试”和负担。事实上等保不是考试，不是为了应付，而是通过等保发现问题解决问题，提高信息系统的安全防护能力。此外，等保只是网络安全的手段而不是目的，是起点而不是终点。与安全能力“三同步”建设和投资策略匹配的“合规”，才是高效实现“持续安全”和“动态安全”的基础。

安全牛邀请到了行业资深从业者蔡培特先生，就中小企业等保合规的“痛点”、“难点”和“要点”，给出了深入浅出，简明扼要的分析和建议，也是中小企业网络安全建设不可错过的“快速指南”：

蔡培特：多年IT从业经验，从事过运营商网络集成、运营商安全运维、测评机构。为大量大、中、小政企单位开展过安全评估、等保测评、安全加固、体系建设等工作，现从事甲方企业安全建设。

一、痛点：自主开展等保合规建设的意义

自2017年6月1日《中华人民共和国网络安全法》发布以来，各政企单位等保测评如火如荼的开展。那么为什么要开展等级保护工作呢?主要有以下几个原因：

第一、满足国家相关法律法规和制度的要求。等级保护是我国网络安全的基本政策，网络安全法规定了我国实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。单位未开展网络安全等级保护的，发生网络安全事故或受到监管机构检查，单位处一万以上十万以下罚款，责任人处五千以上五万以下罚款。目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起。

第二、项目管理可控。自主开展等级保护工作而非由监管机构检查后责令整改，对单位来说能掌握更多的主动权，时间上也相对充裕许多，在项目管理的角度上来讲，时间管理、质量管理及成本管理更加可控。

第三、安全管理体系化，防护能力提升。通过等级保护工作，发现单位信息系统与国家安全标准之间存在的差距，对系统资产的梳理、系统存在的风险点、制度流程的缺陷会有一个更加清晰的认识，查明目前系统存在的安全隐患和不足，通过安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，在相关管理流程上会更体系化。

二、难点：等保测评的问题及解决方案

中小企业在开展等级保护测评，多多少少都会出现些问题，笔者结合自身工作经历，对所遇的主要问题进行了一个归纳。

• 管理层缺乏意识。单位管理层在网络安全方面缺乏意识，认为业务系统能正常运行，并未出现故障，网络安全等级保护的建设没有开展的必要。又或者认为业务系统在内网运行，未开放互联网访问，可不开展网络安全等级保护建设。
• 资产管理混乱。管理人员对信息系统的资产管理缺乏完整的交接，没有清晰全面的资产清单，造成资产管理的混乱。
• 缺乏专业人员。单位未配备专业的信息安全管理人员，单位内部可能相关IT管理人员就1至2个，负责网络管理及桌面运维，说起网络安全等级保护，可能是一头雾水，对网络安全等级保护如何开展没有概念，无从入手。
• 系统整改难度大、整改周期长。单位业务系统维保过期，主机层面漏洞、数据库层面漏洞、应用层面漏洞及网络层面的漏洞整改需要专业技术人员;业务系统存在的漏洞，整改会对生产业务造成影响，或是造成系统使用的不便，如密码复杂度、定期改密、超时退出等，在整改推行上会有较大的阻力。
• 经费缺乏。此问题与管理层缺乏意识也有相关，整改过程中难免会需要采购一些安全设备，比如网络必须具备入侵检测手段，在经费缺乏的条件下，无法进行入侵检测或入侵防御设备采购，无法满足该测评项，会导致最终无法通过等保测评。